文档介绍：从企业内部控制迈向风险管理
--COSO《风险框架》推动国企审计新变化
上海市审计局经贸处鲁心逸
2009年4月20日
【摘要】COSO《风险框架》是企业应对不确定世界的权威性管理操作指南。本文以COSO《内控框架》向《风险框架》转变为视角,解读《风险框架》“内部环境”、“目标设定”、“事项识别”和“风险应对”等新要素对现代企业管理的影响,并探讨企业风险管理和国企审计风险的互动关系,寻找识别国企审计风险中的“中国元素”,着眼于推动国企审计的创新。
【关键字】不确定内部控制风险管理审计风险
美国COSO委员会于2004年9月正式颁布《企业风险管理整合框架》(以下简称《风险框架》),在全球业内备受关注,得到广泛认同。这份现代企业风险管理务实性操作文件,被誉为企业界风险管理的“圣经”,享有极高的专业权威。
作为现代企业管理指导性文件,《风险框架》既是工作原则和操作指南也是思维方法和学术观点,认真解读、理解并消化其中各项条款,对于推动国企审计十分重要。
一、《风险框架》拓宽企业管理新视域
1、《风险框架》完成企业管理由内部控制向风险管理的跨越
1994年,COSO正式发布《内部控制——整合框架》,成为世界通行的权威性文献,被国际和各国审计准则制定机构和银行监管机构和其他方面采纳。但是,由于长期以来,特别是2001年前后,发生在一些全球著名跨国公司中的财务丑闻和企业失败事件,使得COSO把关注焦点集中到风险应对和管理之上,并认为,需要一个强有力的框架以有效识别、评估、控制和应对企业面临的各类风险。因此,COSO于2004年正式发布《风险框架》。
COSO关于从企业内部控制转向风险管理的成熟观点内含于《风险框架》的新增要素之中(见表1)。由于“战略目标”同“目标设定”相互关联,“风险组合观”同“风险应对”相互关联,所以,新四要素(“内部环境”、“目标设定”、“事项识别”、“风险应对”)在《风险框架》中占重要位置。从一定意义上说,《风险框架》是通过新四要素实现企业管理从内部控制向风险管理跨越的。
表1:COSO 《内控框架》与《风险框架》比较表
类型
COSO《内控框架》
COSO 《风险框架》
目标
经营目标
财务报告目标
合规性目标
战略目标(新增)
经营目标
财务报告目标
合规性目标
风险观
没有提出风险组合观,只有风险评估
从企业总体层面,提出风险组合观(新增)
环境
管理层及员工的内部控制观念
管理层及员工的风险观念,并提出风险偏好概念
要素
控制环境
风险评估
控制活动
信息与沟通
监控
内部环境(更广义)
目标设定(新增)
事项识别(新增)
风险评估
风险应对(新增)
控制活动
信息与沟通
监控
2.“内部环境”使得企业风险管理的覆盖面扩大且保障程度提高
相对于《内控框架》中的“控制环境”,“内部环境”的主要变化在于两处,一是增加“风险理念”和“风险容量”子要素,二是将“董事会”子要素的位置顺序提前。该变化向我们传递出两个信息,首先,企业风险管理必须有文化理念的精神保障,因为文化理念是企业各层面行为的内在选择依据。其次,企业风险管理必须有最高管理当局的组织保障,因为管理当局是企业各业务层面的外在行为指引。《风险框架》“内部环境”从文化和组织两个层面扩大了《内控